IP-адрес домена, стоящего за вирусом Bad Rabbit, связан с пятью ресурсами, на владельцев которых зарегистрированы множество страниц, включая фарм-партнерки (сайты, на которых при помощи спама продают поддельные лекарства). Об этом сообщает РБК со ссылкой на данные Group-IB, занимающейся расследованиями киберпреступлений.
Название домена в сообщении не упоминается. По словам замглавы лаборатории компьютерной криминалистики Group-IB Сергея Никитина, после захода на зараженную страницу пользователям предлагалось обновить flash-плеер, а в случае нажатия кнопки согласия информация на компьютере зашифровывалась. Вирус также зашифровывал другие компьютеры, находящиеся в одной сети с зараженным устройством, при помощи украденных паролей. Руководитель компании Илья Сачков заявил ТАСС, что при помощи имеющихся данных можно установить личности людей, связанных с атакой Bad Rabbit.
В результате атаки Bad Rabbit пострадали сайты изданий «Интерфакс», «Аргументы недели» и «Фонтанка», а также одесский аэропорт, метрополитен в Киеве и Министерство инфраструктуры Украины. За разблокировку компьютера вирус требует 0,05 биткоина (около 300 долларов). Помимо России и Украины кибератаки произошли в Турции и Болгарии, следует из данных антивирусной лаборатории ESET.
Bad Rabbit — это модификация вируса-шифровальщика Petya, в июне заразившего сотни тысяч компьютеров. Petya и другая вредоносная программа, Wanna Cry, ранее в этом году атаковали системы госучреждений и частных компаний, вымогая деньги за востановление доступа к компьютерам.